Fuite de données Twitter : 1 million de Français touchés
Twitter est une fois de plus victime d'un piratage de grande ampleur. Les données personnelles de plusieurs millions d'utilisateurs – dont un million en – sont en accès libre sur le Dark Web. De quoi ouvrir la porte aux vols d'identité...
Alors que l'arrivée d'Elon Musk à la tête de Dark Web qui avait eu lieu en janvier. Pour rappel, les données de 5,4 millions de comptes, incluant des e-mails, des numéros de téléphone et des noms de compte, ce qui peut gravement nuire à l'anonymat de certains utilisateurs cachés dernière un pseudonyme, mais aussi des données de statut vérifié, d'emplacement, de description, de nombre d'abonnés, la date de création du compte, le nombre d'amis, le nombre de favoris, et même les images de profil. Le problème, c'est qu'il y en a beaucoup plus que ce que la société avait déclaré, et qu'elles ont été largement distribuées sur le Web...
Fuite de données Twitter : une ampleur sous-estimée
En janvier 2022, des pirates avaient étaient parvenus à voler les données personnelles de 5,4 millions d'utilisateurs grâce à une brèche de sécurité introduite par une mise à jour en juin 2021. Ils avaient profité de l'option "Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter" – option qui peut bien évidemment être désactivée depuis les réglages. La base de données a été mise en vente cet été sur un forum de piratage, comme l'a reconnu le réseau social. Selon lui, une seule entité avait exploité cette faille. Enfin, ça c'est la version officielle. En réalité, ces données ont été largement diffusées, et leur nombre est beaucoup plus élevé. Chad Loder, un expert en sécurité de renommée mondiale, a expliqué dans un thread – avant d'être banni et de se réfugier sur Mastodon – avoir comparé la base de données initiale – celles concernant 5,4 millions de comptes – avec celle qui circule actuellement sur le Dark Web :"ce ne sont PAS les mêmes données. Format complètement différent, différents comptes concernés. Probablement plusieurs acteurs qui exploitaient tous les mêmes vulnérabilités en 2021".
Les médias spécialisés phishing personnalisées pour voler les identifiants des internautes, comme un e-mail ou SMS prétendant que le compte a été suspendu, qu'il y a des problèmes de connexion ou que l'utilisateur est sur le point de perdre son statut certifié. Il semblerait que ces révélations ne soient pas du goût d'Elon Musk puisque le compte de Chad Loder a été suspendu depuis ses déclarations, de même que ceux d'autres chercheurs en cybersécurité. Comme quoi, la liberté d'expression sur l'oiseau bleu est devenue à géométrie variable...